Kundedata lå åpent tilgjengelig i Rema 1000s Æ-app. – Jeg kunne lastet ned hele kundebasen

[LMH1]

Jeg vet lite om hvordan dette er gjort?

 

 

 Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne

Så betyr dette man må ha brukt en keylogger eller en trafikkovervåker som leser av kryteringen til serveren til f.eks en port.

For så å brukt felles brukernavn\passord som er brukt i appen til serveren?

Dermed har man fått brukertilgang til hele databasen f.eks et mobilnummer? Da det ikke er krav om passord?

 

Fremdeles selv om man ikke jobber der, kan man finne ipadressen til de som gjør slike ting, da det blir jo hacking.

Men usikkert om rema 1000 vil straffe de som gjør eller vet om sikkerhetbruddet.

[likferd]

Så basert på denne vil jeg ikke si det er rema 1000 sin feil, men hackere som har klart å gi seg tilgang, det er egentlig ulovlig.

 

Ikke snakk om dårlig kryptering eller sikkerhet, så vil heller si det var den personen sin feil en rema 1000.

Viktig å lese kilder. For tek.no fremstår som useriøst når de gir rema 1000 alene skyld i dette.

Nei, det er ikke ulovlig å koble seg til data som ligger fritt og åpent på internett, ei heller å sniffe pakker. Det som kan være ulovlig er å bruke informasjonen til kriminell aktivitet, men det er ikke gjort i dette tilfellet. Tvert imot varslet personen Ræma umiddelbart. Om Selskapet hadde hatt et fnugg av seriøsitet, hadde de takket for opplysningene og betalt dusør, slik som skikken er når man finner sikkerhetshull. Slike summer bruker å variere fra noen tusen kroner til flere hundre tusen, avhengig av alvorligheten.

 

At Rema påstår at dataene er kryptert faller på sin egen urimelighet. Om data var kryptert, hadde ikke denne personen kunne les innholdet. Om de hadde sikret endepunktene sine hadde han ikke fått tilgang. Moderne krypteringsalgoritmer med 256 bits eller mer er umulig å knekke uten nøkkel.

 

"det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne"

 

Og ha slags kunnskap skal det være? Med mindre personen jobber i Rema, skal ikke han ha krypteringsnøkkelen. Om de mener at det er snakk om almenne IT kunnskaper for å kjøre et par bash kommandoer, sliter jeg med å se poenget. Kriminelle har ofte gode IT kunnskaper.

Endret 1. februar 2017 av likferd

[Gjest Slettet+987123849734]

Jeg vet lite om hvordan dette er gjort?

 

 

 Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne

Så betyr dette man må ha brukt en keylogger eller en trafikkovervåker som leser av kryteringen til serveren til f.eks en port.

For så å brukt felles brukernavn\passord som er brukt i appen til serveren?

Dermed har man fått brukertilgang til hele databasen f.eks et mobilnummer? Da det ikke er krav om passord?

 

Fremdeles selv om man ikke jobber der, kan man finne ipadressen til de som gjør slike ting, da det blir jo hacking.

Men usikkert om rema 1000 vil straffe de som gjør eller vet om sikkerhetbruddet.

Jeg vil nesten tippe at det de mener med kryptert er at appen bruker et eller annet json api over https.

Dermed er det egentlig forbindelsen som er kryptert og ikke dataen.

Vil tro at ved å analysere hvilke json kall som blir gjort, så har vedkommende vært i stand til å hente ut mer info enn det han egentlig skal se.

 

F.eks. Kan det være noe sånn som dette https://æddabædda/?customerid=100200 hvor 100200 er hans kundenummer i Rema apiet. Ved å bare bytte ut kundenummer lastes da informasjonen om en annen kunde, fordi det ikke er noen sjekk av at brukeren som leser data er den samme brukeren som er autorisert mot apiet (hvis det kreves noen autorisasjon i det heletatt)

 

Bare spekulasjoner og håper det ikke er så enkelt, men har sett nok eksempler på at det er så enkelt ?

[kpolberg]

Hallvard har lagt ut skjermskudd =)
 

https://twitter.com/hallny/status/826768877363331072/photo/1?utm_source=fb&utm_medium=fb&utm_campaign=hallny&utm_content=826768877363331072

Endret 1. februar 2017 av kpolberg

[Nobunaga]

 

Det mest bekymringsverdige her er i mine øyne Remas tilbakemelding. Den er ikke tillitsvekkende.

Jepp, lurer på

 

1) hvaslags kryptering de hadde ...

2) hva som er ulovlig med å aksessere åpne data hvor ingen tilgangssperrer er implementert

3) hva det kommer av at brukerne behandles ulikt, noen legges ut åpent på nett mens andre får beholde privatlivets fred

4) hvorfor kortnummere ikke er sensitive data

 

 

Svært relevante spørsmål. I tillegg til det du nevner kommer også den fatale "opplysningene er heller ikke å anse som sensitive personopplysninger, mener Rema".

 

Hvis de virkelige mener det, har de ikke forstått hva Big Data er. Hvis de ikke synes hva du handler er sensitivt, vil det si at Ræma ikke ser det som et problem å selge disse opplysningene videre til andre. For eksempel til forsikringsselskaper (Ræma har nå også sitt eget forsikringsselskap!). Som ser at du kjøper mye smør, servelat og grandiosa, og setter opp en score på hvor sunt du antatt lever. Vær sikker på at helseforsikringen din går opp. Og så videre. Det er svært gode grunner til at Ræma vil gi deg 10% rabatt bare for å kunne kartlegge hva du kjøper. Disse dataene er utrolig verdifulle.

 

En oppfordring til Ræma; innse at det dere sa var fullstendig på bærtur, legg dere helt flate, anerkjenn den gode gjerning "hackeren" gjorde og be om unnskyldning. Og ta sikkerhet på alvor!

[_dundun_]

Ser jaggu ut som Rema sender data til Facebook også!

[NgZ]

Hallvard har lagt ut skjermskudd =)

 

https://twitter.com/hallny/status/826768877363331072/photo/1?utm_source=fb&utm_medium=fb&utm_campaign=hallny&utm_content=826768877363331072

 

Så @mittvisningsnavn gjettet riktig. Svaret til Rema 1000 er med andre ord vås.

 

- Dette er neppe ulovlig, med tanke på opptredenen til varsleren.

- Påstanden"Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne." er simpelthen ikke sann. Man trengte ikke krypteringsinfo eller -tilgang for å hente ut noe som helst.Remas API/server serverte alt åpent og ukryptert som svar på en enkel request.

- At varsleren bare hentet ut opplysninger om et fåtall brukere betyr ikke at bare et fåtall er rammet. Hvem som helst andre kan ha hentet ut hele databasen for lenge siden ettersom tilgang til brukerdata rett og slett IKKE VAR SIKRET - i det hele tatt!

[_dundun_]

Dette forklarer iallfall hvorfor det kom en oppdatering av appen for en ukes tid siden som tvang alle til å registrere seg på nytt med ny sms-kode. Tipper utviklerne hos Shortcut har hatt en hektisk uke og at noen har gått på en stygg karrieresmell. 

[PgUp]

Han burde jo fått 500k i finnerlønn.. I mange bransjer betaler man jo masse for zero day exploits. Ondsinnende personer kunne jo brukt denne infoen og da hadde det virkelig vært krise. Men nei, skyt budbringeren. 

 

Enda en grunn til boikott av rema.

[ATWindsor]

 

Hallvard har lagt ut skjermskudd =)

 

https://twitter.com/hallny/status/826768877363331072/photo/1?utm_source=fb&utm_medium=fb&utm_campaign=hallny&utm_content=826768877363331072

Så @mittvisningsnavn gjettet riktig. Svaret til Rema 1000 er med andre ord vås.

 

- Dette er neppe ulovlig, med tanke på opptredenen til varsleren.

- Påstanden"Dataen var kryptert og det kreves spesifikk kunnskap for å kunne hente ut informasjonen og dekryptere denne." er simpelthen ikke sann. Man trengte ikke krypteringsinfo eller -tilgang for å hente ut noe som helst.Remas API/server serverte alt åpent og ukryptert som svar på en enkel request.

- At varsleren bare hentet ut opplysninger om et fåtall brukere betyr ikke at bare et fåtall er rammet. Hvem som helst andre kan ha hentet ut hele databasen for lenge siden ettersom tilgang til brukerdata rett og slett IKKE VAR SIKRET - i det hele tatt!

 

 

Ja, som mistenkt, svaret til rema er akkurat så ullent, og med vilje formulert slik at de stiller de i et bedre lys, at det var noe slikt som var mistanken, som jeg tidligere var inne på.

 

AtW

[bmork]

"I en pressemelding fra Rema 1000 nå ettermiddag skriver butikkjeden at varsleren gikk inn og hentet informasjon på ulovlig vis."

 

Flott! Da er informasjonen altså solid sikret mot misbruk fra alle med ærlige hensikter. Betryggende.

[_dundun_]

Rema har jo foråvidt rett i at man trenger "spesifikk kunnskap" for å hente ut dataene. Det er ikke noe hvem som helst får til. At man klarer å bruke det som et argument for å ha så latterlig dårlig sikkerhet er dog skremmende og en god grunn til å aldri ha noen data liggende hos Rema. 

[sk0yern]

Forstår ikke hvorfor en del legger all skyld på rema 1000 har dårlig sikkerhet.

Blir jo som å skylde på ansatte sjekker kundenes informasjon i arbeidstiden.

Eller over VPN.

 

Men samme kan vel skje med coop også.

Eller kolional.no

 

Haha, du overgår deg selv.

[_dundun_]

Hadde vært moro med litt mer data om hva som har skjedd - det er ganske fantastisk om de ikke har implementert tokens på API-nivå for å kun serve data om faktisk pålogga bruker. Da burde noens hode rulle. En mer plausibel forklaring kan være en helt enkel bug - altså at tokens ikke har blitt korrekt sjekka når et request kom inn. Det er ille, men tilgivelig. 

[Loomy]

Tenk om vi hadde hatt journalister i fagpressen som stilte oppfølgingsspørsmål på slike ting som skurrer istedenfor å bare copy-pasta pressemeldinger og ferdigsuppe fra NTB.

[Nobunaga]

Hadde vært moro med litt mer data om hva som har skjedd - det er ganske fantastisk om de ikke har implementert tokens på API-nivå for å kun serve data om faktisk pålogga bruker. Da burde noens hode rulle. En mer plausibel forklaring kan være en helt enkel bug - altså at tokens ikke har blitt korrekt sjekka når et request kom inn. Det er ille, men tilgivelig. 

 

Det kommer også litt an på hva som er sladda bak kortnummeret. Hvis de har kortnummer og utløpsdato lagret ukryptert, slik det kan se ut som i skjermdumpen, er det ikke en glipp.

[Bottekott]

Tenk om vi hadde hatt journalister i fagpressen som stilte oppfølgingsspørsmål på slike ting som skurrer istedenfor å bare copy-pasta pressemeldinger og ferdigsuppe fra NTB.

 

Du må jo vente litt, saken må spres ut over flere artikler over tid, så man kan få flere klikk og annonsevisninger

[likferd]

Hadde vært moro med litt mer data om hva som har skjedd - det er ganske fantastisk om de ikke har implementert tokens på API-nivå for å kun serve data om faktisk pålogga bruker. Da burde noens hode rulle. En mer plausibel forklaring kan være en helt enkel bug - altså at tokens ikke har blitt korrekt sjekka når et request kom inn. Det er ille, men tilgivelig. 

Man kan kanskje si at Shortcut tok en.. *badumtish* ..shortcut.

[oppat]

Så basert på denne vil jeg ikke si det er rema 1000 sin feil, men hackere som har klart å gi seg tilgang, det er egentlig ulovlig.

Ikke snakk om dårlig kryptering eller sikkerhet, så vil heller si det var den personen sin feil en rema 1000.

Viktig å lese kilder. For tek.no fremstår som useriøst når de gir rema 1000 alene skyld i dette.

 

Hmm..klarer ikke helt å avgjøre om dette er spøk eller alvorlig ment.

[ATWindsor]

 

Så basert på denne vil jeg ikke si det er rema 1000 sin feil, men hackere som har klart å gi seg tilgang, det er egentlig ulovlig.

Ikke snakk om dårlig kryptering eller sikkerhet, så vil heller si det var den personen sin feil en rema 1000.

Viktig å lese kilder. For tek.no fremstår som useriøst når de gir rema 1000 alene skyld i dette.

Hmm..klarer ikke helt å avgjøre om dette er spøk eller alvorlig ment.

 

 

Les vedkommendes tidligere innlegg. Vedkommende har ikke så mye greie på nettverk og liknende ting dessverre.

 

AtW